Configuració de Porta d'enllaç de Terminal Server a Windows 2008
Los servicios de Terminal Services en Windows 2008 traen una nueva función llamada “Porta d' enllaç de TS” que nos sirve para conectarnos desde el exterior de la organización a equipos que usan Terminal Server en la red de àrea local. Para poder usar esta funció, tenemos que instalarla en un servidor de la red, nos da igual si tiene instalado o no los servicios de Terminal Server. En el router/firewall redirigiremos el puerto 443tcp hacía este servidor y este a su vez ya nos redirigirá a los servidors de Terminal Server de forma segura por el 3389tcp, además podrem aplicar certes directivas per assegurar un poco más la conexión.

Este sería un esquema de una red de servidores Terminal Server, para que se puedan conectar desde el exterior (Internet) a los servidores de Terminal Services, deberemos instalar TS Gateway o Puerta de Enlace en uno de ellos, y redirigir el tráfico HTTPS a él, y ya él se encargará de llevarnos al servidor que hayamos pedido a la hora de conectarnos, ya que el servidor de Puerta de Enlace utiliza RDP sobre HTTPS. Para este documento el servidor de puerta de enlace será w2k803 y el servidor de Terminal Services será w2k802.

Para agregar está función, debemos ir a la consola de administración del servidor y agregar la siguiente función: “Porta d' enllaç de TS”,

Al marcar este componente, se nos instalarán los requisitos que tenga, por supuesto se tienen que instalar, posem en “Agregar características requeridas”,

Podemos instalar un certificado ya para que la conexión RDP vaya cifrada con la capa SSL y sea más segura, si tenemos ya un certificado podemos aprovechar e instalarlo ahora, si no, després, marcando la tercera opció. “Següent”, la instalación de un certificado será obligatoria posteriormente.

Podem crear ahora unas directivas de autorización para la conexión usando TS Gateway/TS puerta de enlace, pero lo haremos después desde la consola. “Següent”,

Confirmamos qué es lo que vamos a instalar y pulsamos en “Instal·lar”,

… esperem mentre s'instal·la…

OK, instalación finalizada correctament, posem en “Tancar”,

Para abrir la consola de administración, anem a “Inici” > “Programes” > “Eines administratives” > “Terminal Services” > “Administrador de puerta de enlace de TS”.

Si es la primera vez que la abrimos veremos que está totalment sin configurar, nos mostrará diferentes alertas. Ahora vamos a ir configurando las propiedades del servidor de puerta de enlace, para ello sobre el servidor con botón derecho vamos a “Propietats”. Y repasamos las pestañas para configurarlo según nos interese.

A la pestanya “General” podemos habilitar un número máximo de conexiones simultáneas o directamente deshabilitar las conexiones a través de este servidor.

A la pestanya “Certificado SSL” es donde instalaremos un certificado SSL, podremos crearnos uno desde aquí o si nos lo instalamos desde Panel de control podríamos elegirlo aquí. En este caso nos basta con crearnos un certificado para asegurar la conexión, per a això polsarem en “Crear certificado…”,

A dalt, debemos indicar el nombre completo de este servidor, abajo donde guardaremos una copiar del certificado que posteriormente se instalarán los usuarios. “Acceptar”,

Val, “Acceptar”,

Ahora vemos que la pantalla ha cambiado indicandonos que tenemos un certificado correctamente instalado, pero este certificado al ser de una entidad emisora de certificados de no confianza (pq nos lo hemos generado nosotros, no una entidad emisora de certificados, una CA – Certificate Authority). Posem en “Examinar” para guardar una copia del certificado en un directorio donde luego los usuarios se lo puedan instalar.

Seleccionamos el certificado y pulsamos en “Veure certificat…”,

A la pestanya “Detalls” pulsamoa abajo en el botón “Copiar en fitxer…”,

Nos saldrá el asistente para la exportación de certificados, val, ho continuem, “Següent”,

Marquem “No exportar la clave privada” y “Següent”,

“DER binario codificado X.509 (.CER) & “Següent”,

Seleccionamos el path donde lo guardaremos y el nombre. “Següent”,

“Finalitzar” para que nos copie el certificado a esta carpeta.

Val, “Acceptar”, esto luego lo seguiremos cuando querramos ver cómo se conecta un usuario.

Nos comenta de donde usar las directivas de autorización de conexiones de Terminal Services (las CAP_TS) si de un servidor NPS ( Network Policy Server) local o uno central que será el servidor de dichas directivas. NPS es el componente que sustituye a IAS de Microsoft Windows 2003. Si sólo tendremos un servidor de Puerta de Enlace de Terminal Services lo normal será marcar local, si no uno central para no tener que duplicar las directivas en ambos servidores.

A la pestanya “Granja de servidores” nos encontramos los servidores que harán balanceo para permitir el acceso de las conexiones del exterior, aquí si tenemos más de un servidor de PE es donde deberemos agregarlos para que se balanceen las conexiones, indicamos el nombre del servidor y pulsamos en “Agregar”, abajo nos mostará el listado de los servidors pertenecientes a dicha granja i el seu estat.

A la pestanya “Auditoria” podrem auditar tots els esdeveniments que ens interessa per comprovar la seguretat dels nostres sistemes, des de ver quién se connecta, quien se intenta conectar, errors de autorización, acceso a recursos…

A la pestanya de “Protocolo de puente SSL” es para assegurar la connexió si tenim un ISA Server dins de la red o un dispositivo para establecer una connexió segura SSL entre este y el servidor de Puerta de Enlace. Tenemos más info para ISA AKI (en la parte final del documento).

Ahora lo que tenemos que hacer es crear dos directivas, una primera llamada CAP (Polítiques d'Autorització de Connexió), permet especificar grups d'usuaris y/o equips, que poden accedir a un servidor TS Puerta de Enlace. Para crear una directiva de este tipo en la consola de “Administrador de Puerta de Enlace” sobre “Directives” amb el botó dret a “Directivas de autorización de conexiones” > “Crear nueva directiva” > “Personalizado”.

A la pestanya “General” le indicamos un nombre de directiva, per exemple TS_CAP i la habilitació.

A la pestanya “Requisits” serà donde digamos que método de autenticación se usará para conectarse, si con “Contrasenya” o “Tarjeta inteligente”. I després hem de seleccionar obligatòriament un grup d'usuaris per indicar qui té accés a conectarse, yo tengo un grupo en el Directorio Activo llamado “Usuarios de TS” donde meto a los usuarios que quiero que se connecten, aquí l'acord per indicar això. A més si volem per a major seguretat, podem crear un grup en el Directorio Actiu i metre equips en ell per permetre que només estàs connectat des de certs equips.

I a la pestanya “Redirecció de dispositivos” tenim quins dispositius volem que redirigeixin la connexió RDP de Terminal, podem habilitar tots els dispositius, deshabilitar-los o personalitzar-ho.

Ara el que hem de fer és crear una altra directiva, aquesta segona anomenada RAP (Resource Authorization Policies), permet especificar els recursos de la xarxa interna als quals els usuaris remots podran accedir a través d'un servidor TS Gateway. En crear una directiva de tipus RAP, addicionalment poden crear-se grups d'equips i associar-los amb la directiva RAP. Els usuaris remots tindran accés només si compleixen almenys una de les condicions especificades en el TS CAP i una del TS RAP. Para crear una directiva de este tipo en la consola de “Administrador de Puerta de Enlace” sobre “Directives” amb el botó dret a “Directives d'autorització de recursos” > “Crear nueva directiva” > “Personalizado”.

A la pestanya “General” le indicamos un nombre de directiva, per exemple TS_RAP i la habilitem.

La pestanya “Grups d'usuaris”, és igual que a la directiva CAP, aquí indiquem grups d'usuaris per permetre'ls la connectivitat utilitzant el TS Porta d'Enllaç. Qui té accés per connectar-se, yo tengo un grupo en el Directorio Activo llamado “Usuarios de TS” donde meto a los usuarios que quiero que se connecten.

A la pestanya “Grup d'equips” afegim si ens interessa algun grup al Directori Actiu per donar accés a determinats equips a través de TS Gateway.

I a la pestanya de “Ports permesos” veurem a quin port es connectaran els clients d'Escriptori Remot als servidors de Terminal Server, podem permetre només connexions al 3389, a qualsevol port o personalitzar-ho.
Aquí ja estaria finalitzada la configuració d'un servidor de Porta d'Enllaç de Terminal Services, ara el que veurem és com s'ha de connectar un usuari que estigui a internet a un servidor de Terminal Server que estigui dins de la xarxa a través del servidor PE.

Lo primero de todo es que cómo en el servidor de Puerta de Enlace hemos generado un certificado no valido, no con una Entidad Emisora de Certificados válida como: VeriSign, RapidSSL,CAcert, Comodo, Thawte… Pues en el PC cliente hay que instalar el certificado de arriba para indicar que confiamos en la Entidad Emisora de este certificado. Per a això, antes hemos guardado el certificado en un directorio llamado COMPARTIDA en el servidor Puerta de Enlace, suponiendo que está compartida y los usuarios pueden acceder a ella, sobre el certificado generado anteriormente, con botón derecho en el certificado “Instal·lar certificat”,

Nos saldrá un asistente de importación de certificados “Següent”,

Debemos marcar el check de “Colocar todos los certificados en el siguiente almacén” y en el botón “Examinar” seleccionarem “Entidades emisoras raíz de confianza”, “Següent”,

“Finalitzar” para importar el certificado correctamente,

Confirmem, “Sí”,

Acceptem,

De nuevo, en el PC cliente con el certificado ya instalado, abrimos el cliente de “Conexión a Escritorio Remoto” (“Inici” > “Executar” > mstsc). Por supuesto que tiene que ser la versión 6 del cliente, si no, nos lo tenemos que descargar de la web de Microsoft (http://support.microsoft.com/default.aspx/kb/925876). Nos vamos a la pestaña de “Opciones avanzadas” y pulsamos sobre el botón de “Configuració”. En la nueva ventana que se abre tenemos que marcar “Usar esta configuración de servidor de Puerta de enlace de TS” i en “Nom del servidor” indicamos cual es el servidor de Puerta de Enlace de la organización”.
Aceptamos las configuraciones e indicamos a qué servidor nos vamos a conectar, nos pedirá la autenticación antes de llegar a la ventana de Terminal Services por seguridad, ya que tengo habilitado NLA (Network Level Authentication), un nou tipus d'autenticació, que autentica l'usuari, l'ordinador client i les credencials del servidor entre si. Això significa que l'autenticació ara es realitza abans que la sessió de Terminal Services s'iniciï i se li presenti a l'usuari la pantalla d'inici de sessió. Amb clients anteriors de Connexió a Escriptori Remot 6.0, les sessions de TS s'iniciaven tan bon punt l'usuari feia clic a “Connectar”, i això crea una finestra d'oportunitat perquè usuaris maliciosos realitzin atacs de Denegació de Servei (DoS) i robessin credencials via un atac man-in-the-middle (MITM).

Bueno vemos que ya estaría conectado a Terminal Services, ara para comprobar si lo estic fent per la Puerta de Enlace nos vamos a la consola.

Obrim el “Administrador de puerta de enlace de TS” i en “Supervisión” veremos qui està connectat al servidor llamado w2k802.bujarra.com a través del servidor de porta de enlace llamado w2k803.bujarra.com. Des d'aquí també podremos cerrar la sessió al usuario “Interrumpir esta conexión” o desconectarlo “Desconectar a aquest usuari”.
www.bujarra.com – Héctor Herrero – nh*****@*****ra.com – v 1.0








































